攻击者时区分析与归因陷阱

背景简介

网络安全领域中，攻击者归因是追踪和防范恶意行为的关键步骤。攻击者留下的数字足迹，如登录时间、活动记录等，可被用来揭示其行为模式。然而，如何正确解读这些数据，避免归因错误，是分析师必须面对的挑战。本文将介绍攻击者时区分析的方法，并探讨在攻击者归因过程中可能遇到的陷阱。

攻击者时区分析方法

攻击者时区分析是一种通过评估攻击者在不同时间区的活动模式，来推测其地理位置的技术。这种方法要求我们收集攻击者的活动时间点，包括首次和最后一次活跃时间、使用远程shell的时间、以及登录/登出时间等。然后，将这些数据点绘制成图表，并在不同的时区上进行对比，以识别与攻击者活动时间相吻合的时区模式。

以普华永道(PwC)分析APT10攻击者的案例为例，通过对比UTC 0时区与攻击者活动的时间，发现攻击者的行为并不符合UTC 0时区政府雇员的工作时间。进一步分析显示，攻击者的行为模式与UTC+8时区的工作日程相吻合，从而推测攻击者可能位于UTC+8时区，最终根据活动模式和时区将攻击者定位在中国。

攻击者归因过程中的陷阱

不要仅依赖DDNS进行攻击者基础设施识别

动态DNS（DDNS）为攻击者提供了一种匿名托管基础设施的方法，使得攻击者无需拥有或注册基础设施。例如，攻击者可能会使用DDNS提供商的子域名作为其命令与控制服务器，这使得追踪攻击者变得更加困难。因此，分析师不应仅基于DDNS的使用来判断攻击者，而应收集更多的证据，如特定的恶意软件和基础设施特征，以支持归因。

不要假设同一IP地址上的域名属于同一攻击者

同一IP地址可能托管多个域名，这些域名可能由不同的攻击者控制。例如，一个IP地址可能同时托管恶意域名和非恶意域名。在将活动归因于特定攻击者之前，需要进行深入调查，确认域名之间的相关性。

不要使用经纪人注册的域名进行归因

域名经纪人代表他人购买和销售域名，这些域名可能会导致混淆。由于域名经纪人通常与许多域名有关联，分析师在归因过程中应谨慎使用这些域名作为证据，避免错误地将不同攻击者的行为联系起来。

总结与启发

攻击者时区分析是一种强有力的工具，可以辅助我们理解攻击者的地理位置和工作习惯。然而，为了确保归因的准确性，分析师必须避免依赖单一数据源，并应从多个角度验证和收集证据。通过对攻击者活动的深入分析，我们可以更有效地保护组织免受网络攻击的威胁，并在必要时向执法机构提供支持。

本文通过普华永道的案例，揭示了攻击者时区分析的实际应用，并指出了在攻击者归因过程中可能遇到的几个常见陷阱。希望本文能对网络安全分析师的工作提供有价值的见解和帮助。